MD5加密详解

MD5加密详解

加密过程：

密码：123456 （明文形式）----->加密后 49ba59abbe56e057

1.密码在请求提交后到达控制器

2.到达控制后通过加密规则，转换成密文

3.在经过DAO查询与数据库中已经存在的密文密码比对是否一直，一致，则放行。

• 用户注册密码时是加密存储的

• 用户修改密码时，也需要进行加密存储

加密规则：

---

• 加密规则可以自定义，在项目中通常使用BASE64和MD5，本文使用的加密规则就是MD5,

• BASE64: 可反编码的编码方式

  ​ 明文—密文

  ​ 密文–明文

• MD5：不可逆的编码方式 （非对称）

  明文----密文

• 如果数据库用户的密码储存的密文,Shiro如何完成验证？

• 使用Shiro提供的加密功能，对输入的密码进行加密后在进行确认。

  Shiro使用加密认证

  配置matcher

  @Configuration
  public class ShiroConfig {
  
      //...
      @Bean
      public HashedCredentialsMatcher getHashedCredentialsMatcher(){
          HashedCredentialsMatcher matcher = new HashedCredentialsMatcher();
          //matcher就是用来指定加密规则
          //加密方式
          matcher.setHashAlgorithmName("md5");
          //hash次数
          matcher.setHashIterations(1);	//此处的循环次数要与用户注册是密码加密次数一致
          return matcher;
      }
  
      //自定义Realm
      @Bean
      public MyRealm getMyRealm( HashedCredentialsMatcher matcher ){
          MyRealm myRealm = new MyRealm();
          myRealm.setCredentialsMatcher(matcher);
          return myRealm;
      }
  
  	//...
  }
  

  用户密码加密处理

  • UserComtroller

    @Controller
    @RequestMapping("user")
    public class UserController {
    
        @Resource
        private UserServiceImpl userService;
    
    
    
        @RequestMapping("/regist")
        public String regist(String userName,String userPwd) {
            System.out.println("------注册");
    
            //注册的时候要对密码进行加密存储
            Md5Hash md5Hash = new Md5Hash(userPwd);
            System.out.println("--->>>"+ md5Hash.toHex());
    
            //加盐加密
            int num = new Random().nextInt(90000)+10000;   //10000—99999
            String salt = num+"";
            Md5Hash md5Hash2 = new Md5Hash(userPwd,salt);
            System.out.println("--->>>"+md5Hash2);
    
            //加盐加密+多次hash
            Md5Hash md5Hash3 = new Md5Hash(userPwd,salt,3);
            System.out.println("--->>>"+md5Hash3);
    
            //SimpleHash hash = new SimpleHash("md5",userPwd,num,3);
    		
            //将用户信息保存到数据库时，保存加密后的密码，如果生成的随机盐，盐也要保存
            
            return "login";
        }
    
    }
    

加盐处理

• 在自定义Realm中：

   /**
       * 获取认证的安全数据（从数据库查询的用户的正确数据）
       */
      protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken authenticationToken) throws AuthenticationException {
          //参数authenticationToken就是传递的  subject.login(token)
          // 从token中获取用户名
          UsernamePasswordToken token = (UsernamePasswordToken) authenticationToken;
          String username = token.getUsername();
          //根据用户名，从数据库查询当前用户的安全数据
          User user = userDAO.queryUserByUsername(username);
  
  //        AuthenticationInfo info = new SimpleAuthenticationInfo(
  //                username,           //当前用户用户名
  //                user.getUserPwd(),   //从数据库查询出来的安全密码
  //                getName());
  
          //如果数据库中用户的密码是加了盐的
          AuthenticationInfo info = new SimpleAuthenticationInfo(
                  username,           //当前用户用户名
                  user.getUserPwd(),   //从数据库查询出来的安全密码
                  ByteSource.Util.bytes(user.getPwdSalt()),
                  getName());
  
          return info;
      }
  }